Nas'o file "v" na svom serveru?!?

nisam bas najsigurniji da je ovo najbolja kategorija ali ima veze sa sigurnoscu :slight_smile:

trebam pomoc od onih koji imaju iskustva sa hostingom web servera. maloprije sam na svom account-u (hostmonster.com) nasao file “v” (bez navodnika), unutar public_html direktorija. to je shared hosting account. tezak 21MB. skin’o sam ga na svoj komp i otvorio ga da vidim sta je u njemu koristeci vi editor. sve sami hijeroglifi. nista nisacim. (binary code?)

kontaktirao sam hosting kompaniju ali sam vec znao unaprijed odgovor: ne znamo kako se to naslo tu, ali nasi serveri nisu hakerisani niti smo primjetili bilo kakav znak kompromizacije. najvjerovatnije je to posljedica vaseg php koda.

ne kazem da nije moguce, ali i da im neko otrese server oni nece reci jer sam se nekoliko puta svadjao sa njima kad im se sroza mysql i error dobijem na ekranu oni prvo kazu da prave update/upgrade (?!!?!?!?, jednom su “pravili update 3 puta tokom jednog mjeseca”). onda i im lijepo kazem da znam nesto vise o ti stvarim i da pokusaju naci neko bolje zapakovano sranje od izgovora itd.

da, datum file-a je 7. januar a moj account je bio zatoren od 26 decembra do 16 januara i niko nije imao pristupa. znaci - php code nije, jel’ tako? znaci, ili je neko provalio moj password ili jeneko provalio citav server? jedini “kontakt” sa serverom sam imao (bio mi dostupan) je preko komandne linije i cPanel-a.

elem… ako neko ima kakvu ideju ili objasnjenje? bilo kakav argument da se borim sa njima.

takodje, sta sad? ja sam preimenovao file u nesto drugo dok ne vidim o cemu se radi ali ne znam sta mi je jos ciniti?

chmod +x v && ./v and pray :mrgreen:

jaaaaaako bih volio da znam sta to cinim sa ovim prije nego kliknem na . pogotovo zbog ovoga “pray”
:frowning:

jaaaaaako bih volio da znam sta to cinim sa ovim prije nego kliknem na . pogotovo zbog ovoga “pray”
:([/quote]
chmod +x - označavaš fajl kao executable
./v - pokrećeš fajl :wink:

[quote=afan]nisam bas najsigurniji da je ovo najbolja kategorija ali ima veze sa sigurnoscu :slight_smile:

trebam pomoc od onih koji imaju iskustva sa hostingom web servera. maloprije sam na svom account-u (hostmonster.com) nasao file “v” (bez navodnika), unutar public_html direktorija. to je shared hosting account. tezak 21MB. skin’o sam ga na svoj komp i otvorio ga da vidim sta je u njemu koristeci vi editor. sve sami hijeroglifi. nista nisacim. (binary code?)

kontaktirao sam hosting kompaniju ali sam vec znao unaprijed odgovor: ne znamo kako se to naslo tu, ali nasi serveri nisu hakerisani niti smo primjetili bilo kakav znak kompromizacije. najvjerovatnije je to posljedica vaseg php koda.

ne kazem da nije moguce, ali i da im neko otrese server oni nece reci jer sam se nekoliko puta svadjao sa njima kad im se sroza mysql i error dobijem na ekranu oni prvo kazu da prave update/upgrade (?!!?!?!?, jednom su “pravili update 3 puta tokom jednog mjeseca”). onda i im lijepo kazem da znam nesto vise o ti stvarim i da pokusaju naci neko bolje zapakovano sranje od izgovora itd.

da, datum file-a je 7. januar a moj account je bio zatoren od 26 decembra do 16 januara i niko nije imao pristupa. znaci - php code nije, jel’ tako? znaci, ili je neko provalio moj password ili jeneko provalio citav server? jedini “kontakt” sa serverom sam imao (bio mi dostupan) je preko komandne linije i cPanel-a.

elem… ako neko ima kakvu ideju ili objasnjenje? bilo kakav argument da se borim sa njima.

takodje, sta sad? ja sam preimenovao file u nesto drugo dok ne vidim o cemu se radi ali ne znam sta mi je jos ciniti?[/quote]
za pocetak koristi komandu “file” i komandu “strings” (za vise informacija sta to dvoje radi pogledaj man page)

jednostavo : file v
i pastiraj ovdje sta ti izbaci (ako dobijes neki odgovor tipa “data” ) u tom slucaju odradi :

strings v > /tmp/output

i malo analiziraj output ili ako nije previse velik pastiraj ovdje ili jos bolje na neki hosting odakle bi ga mogo vidit …

Naravno u virtuelnoj mašini koja nije umrežena :slight_smile: A fajl obavezno pobriši sa servera odmah.

nemojte ovako konstruktivnih odgovora :smiley: neko se moze qualitetno zafrkat :slight_smile:

kopiraj taj fajl na virtualnu mashinu, izbrisi ga, provuci par antivirusa preko njega…promjeni passworde na serveru…pogledaj atribute drugih fajlova,timestemps imali jos sta upadljivo…imas li pristup /var/log ?
pregledaj logove:

auth.log (imali logiranja van vremena u kojima si ti bio na serveru)
access.log (dali je ko otvarao ovaj fajl)
error.log (dali ima cudnovatih pokusaja)

u kakvom modusu pici php?
dali je apache chrooted?
kakve sigurnosne mjere su na tom serveru, anti virus,rootkits, file fingerprints?

Imas vjerovatno u tom svom cPanel-u ClamAv, skeniraj i vidi sta on kaze